Qu'est-ce qu'un système de prévention des intrusions?
Un système de prévention d'intrusion (IPS) surveille les paquets de données d'un réseau à la recherche d'activités suspectes et tente de prendre des mesures à l'aide de stratégies spécifiques. Il agit un peu comme un système de détection d'intrusion comprenant un pare-feu pour empêcher les attaques. Il envoie une alerte à un administrateur de réseau ou à un administrateur système lorsque quelque chose de suspect est détecté, ce qui permet à l'administrateur de sélectionner une action à prendre lorsque l'événement se produit. Les systèmes de prévention des intrusions peuvent surveiller un réseau entier, les protocoles de réseau sans fil, le comportement du réseau et le trafic d'un seul ordinateur. Chaque IPS utilise des méthodes de détection spécifiques pour analyser les risques.
En fonction du modèle IPS et de ses fonctionnalités, un système de prévention des intrusions peut détecter diverses violations de la sécurité. Certains peuvent détecter la propagation de logiciels malveillants sur un réseau, la copie de fichiers volumineux entre deux systèmes et l’utilisation d’activités suspectes telles que l’analyse des ports. Une fois que l'IPS a comparé le problème à ses règles de sécurité, il enregistre chaque événement et documente la fréquence de l'événement. Si l'administrateur réseau a configuré l'IPS pour effectuer une action spécifique en fonction de l'incident, le système de prévention des intrusions prend l'action correspondante. Une alerte de base est envoyée à l'administrateur afin qu'il puisse répondre de manière appropriée ou afficher des informations supplémentaires sur l'IPS, si nécessaire.
Il existe quatre types généraux de systèmes de prévention des intrusions: réseau, sans fil, analyse du comportement du réseau et système hôte. Un système IPS basé sur le réseau analyse divers protocoles réseau et est couramment utilisé sur les serveurs d'accès distant, les serveurs de réseau privé virtuel et les routeurs. Un IPS sans fil surveille les activités suspectes sur les réseaux sans fil et recherche également des réseaux sans fil non autorisés dans une zone. L'analyse du comportement du réseau recherche les menaces susceptibles de détruire un réseau ou de propager des logiciels malveillants. Elle est couramment utilisée avec les réseaux privés qui se connectent à Internet. Un système IPS basé sur l'hôte fonctionne sur un seul système et recherche les processus d'application étranges, le trafic réseau inhabituel vers l'hôte, la modification du système de fichiers et les modifications de configuration.
Un système de prévention des intrusions peut utiliser trois méthodes de détection, et de nombreux systèmes utilisent une combinaison des trois. La détection basée sur la signature permet de détecter les menaces connues en comparant un événement à une signature déjà documentée pour déterminer si une faille de sécurité s'est produite. La détection basée sur les anomalies recherche les activités anormales par rapport aux événements normaux survenant sur un système ou un réseau, ce qui est particulièrement utile pour identifier des menaces inconnues. L'analyse de protocole avec état recherche l'activité qui va à l'encontre de la façon dont un protocole spécifique est normalement utilisé.